Kimlik, modern güvenliğin yeni sınırıdır. Ağ duvarları bulanıklaştıkça, “kim neye erişebilir” sorusu her şeyin merkezine yerleşti. Ancak çoğu kurumda erişim yetkileri zamanla, kontrolsüzce birikir: ayrılan çalışanların hesapları açık kalır, herkes ihtiyacından fazla yetkiye sahip olur.
SAVKOR’un IAM güvenlik denetimi, NIST SP 800-63 ve Zero Trust prensipleri doğrultusunda yürütülür. Kullanıcı yaşam döngüsünden MFA kapsamına, rol bazlı erişimden ayrıcalıklı hesap yönetimine kadar kimlik süreçlerinizi inceler; yetki şişkinliğini, açık kalmış hesapları ve süreç boşluklarını ortaya çıkararak en az yetki prensibini hayata geçirmenize yardımcı olur.
Test Kapsamı
- Kullanıcı yaşam döngüsü (katılım/ayrılma)
- Çok faktörlü kimlik doğrulama (MFA)
- Rol bazlı erişim kontrolü (RBAC)
- Erişim politikaları ve en az yetki
- Ayrıcalıklı hesap yönetimi
- Erişim gözden geçirme (recertification) süreçleri
Metodoloji
- 01
Kimlik Envanteri
Kullanıcılar, roller ve erişim yapıları çıkarılır.
- 02
Süreç İncelemesi
Katılım, ayrılma ve erişim değişikliği süreçleri değerlendirilir.
- 03
Yetki & MFA Analizi
Rol yetkileri ve MFA kapsamı en az yetik prensibine göre incelenir.
- 04
Risk Önceliklendirme
Bulgular etki ve yaygınlığa göre önceliklendirilir.
- 05
Raporlama
Bulgular ve iyileştirme önerileri raporlanır.
Teslimatlar
- Yönetici özeti ve kimlik risk görünümü
- Kullanıcı yaşam döngüsü boşluk analizi
- MFA kapsam ve yetki bulguları
- En az yetki ve süreç önerileri
- İyileştirme yol haritası
Sık Sorulan Sorular
En sık karşılaşılan IAM sorunu nedir?
Ayrılan çalışanların hesaplarının zamanında kapatılmaması ve zamanla biriken 'yetki şişkinliği' (kullanıcıların gereğinden fazla yetkiye sahip olması). Bu iki sorun, en yaygın ve en kolay sömürülen risklerdendir.
Erişim gözden geçirme (recertification) neden önemli?
İnsanlar rol değiştirir ama eski yetkileri genellikle kalır. Düzenli erişim gözden geçirmesi, 'kim neye neden erişebiliyor' sorusunu periyodik olarak sorarak bu birikimi temizler ve en az yetki prensibini canlı tutar.
Bulut ve şirket içi kimlikler birlikte mi değerlendirilir?
İhtiyaca göre. Bu denetim genel IAM süreçlerine odaklanır; bulut kimliğine özel derinlik için Cloud IAM Güvenlik Değerlendirmesi hizmetimiz tamamlayıcı olarak önerilir.